Experiˆencias com uso da ferramenta SDN-IPS no testbed
FIBRE para pr´aticas de ensino de redes e ciberseguranc¸a
Italo Valcy S. Brito1, Adriana Viriato Ribeiro1, Leobino N. Sampaio1 1Programa de P´os Graduac¸˜ao em Ciˆencia da Computac¸˜ao (PGCOMP)
Universidade Federal da Bahia (UFBA) Salvador – BA – Brasil
{italovalcy,adrianavr,leobino}@ufba.br
Abstract. The harmonious use of theory and practice for teaching computer networks and security is challenging and paramount. The balance between the-oretical principles and experimentation plays a key role to produce accessible methods for students to build up their knowledge. Thus, the use of testbed en-vironments for education purposes benefits the learning process, providing ex-periences beyond traditional practices in restricted or emulated scenarios. This paper presents a study-case related to the use of FIBRE testbed and SDN-IPS application in a semi-distance course of networks and security. The evaluation demonstrates that such actions produced excellent results and helped students in their academic and professional career.
Resumo. Um desafio no ensino de Redes e Ciberseguran¸ca ´e a concilia¸c˜ao en-tre teoria e pr´atica. A partir do equil´ıbrio enen-tre os princ´ıpios te´oricos e a expe-rimenta¸c˜ao tem-se, de fato, m´etodos acess´ıveis ao aluno para melhor aquisi¸c˜ao do conhecimento. Nesse sentido, o uso de ambientes de testbed, como o FIBRE, para fins de educa¸c˜ao enriquece o processo de ensino e aprendizagem, propor-cionando experiˆencias que v˜ao al´em das pr´aticas convencionais em cen´arios restritos ou emulados. Este artigo apresenta um relato de experiˆencias no uso do FIBRE e da ferramenta SDN-IPS na execu¸c˜ao de um curso semi-presencial de redes e seguran¸ca. O feedback dos alunos mostra a importˆancia de a¸c˜oes como essa no seu processo de forma¸c˜ao.
1. Introduc¸˜ao
Um dos principais desafios no processo de ensino e aprendizagem de Redes de Compu-tadores e Seguranc¸a da Informac¸˜ao ´e a conciliac¸˜ao dos conceitos abordados em aula com a pr´atica nos laborat´orios [Kaabi et al. 2016, Xu et al. 2014]. A partir do equil´ıbrio entre os princ´ıpios te´oricos e a experimentac¸˜ao tem-se, de fato, m´etodos acess´ıveis ao aluno para aprendizado dessas ´areas [Kurose and Ross 2013]. N˜ao obstante, as limitac¸˜oes no ambiente de testes, a concorrˆencia pelo uso de recursos, as restric¸˜oes de local e hor´ario de acesso e at´e mesmo a ausˆencia de equipamentos apropriados limitam a aplicac¸˜ao de atividades pr´aticas. Mesmo com o uso de emuladores ou recursos locais da instituic¸˜ao, os alunos ficam restritos `a testes em pequena escala ou deixam de desenvolver a capacidade de resoluc¸˜ao de problemas que tipicamente ocorrem em ambientes reais [Xu et al. 2014]. Nesse contexto, a utilizac¸˜ao de ambientes de experimentac¸˜ao pode auxiliar a aplicac¸˜ao de metodologias did´atico-pedag´ogicas com foco no uso de laborat´orios pr´aticos
para ensino de redes e seguranc¸a. O FIBRE (do inglˆes, Future Internet Brazilian environ-ment for Experienviron-mentation) ´e uma estrutura de experienviron-mentac¸˜ao que permite que estudantes, professores e pesquisadores testem novas arquiteturas de redes, protocolos e aplicac¸˜oes em condic¸˜oes pr´oximas ao mundo real, podendo ser utilizado para potencializar a ex-periˆencia pr´atica dos alunos [Ciuffo et al. 2016].
No que tange ao ensino de Redes de Computadores, o surgimento do para-digma de Redes Definidas por Software (do inglˆes, Software-Defined Networking – SDN) [Kreutz et al. 2014], por exemplo, abre diversas perspectivas para criac¸˜ao de ob-jetos de aprendizagem para os alunos, como a metodologia de modelagem da rede em grafos, a programac¸˜ao de func¸˜oes de rede no controlador ou ainda a definic¸˜ao de APIs para gerenciamento da rede pelos operadores. A programabilidade da rede permite que o estudante implemente e teste diversas funcionalidades independente de fabricantes, cul-minando em um melhor entendimento dos conceitos e das aplicac¸˜oes. Em relac¸˜ao `a Seguranc¸a da Informac¸˜ao, apresentar os princ´ıpios, diversidade de ataques e mecanismos de detecc¸˜ao/defesa, combinando teoria e pr´atica em ambiente controlado, constitui-se um grande desafio ao professor [Xu et al. 2014]. Al´em disso, h´a uma preocupac¸˜ao em educar os alunos para que, ao realizar testes de seguranc¸a, o fac¸am de forma ´etica, controlada, autorizada e sem causar quaisquer danos `a terceiros [Kaabi et al. 2016].
Tendo em vista os desafios e oportunidades supracitados e considerando a im-portˆancia do equil´ıbrio entre teoria e pr´atica, foi desenvolvido um curso de extens˜ao na Universidade Federal da Bahia (UFBA) que demonstra o uso da ferramenta SDN-IPS e do testbed FIBRE no ensino de redes e seguranc¸a. O conte´udo do curso aborda desde assuntos b´asicos como configurac¸˜ao de enderec¸os de rede e VLAN, a assuntos mais avanc¸ados, como roteamento interdom´ınio com BGP e funcionamento de uma arquitetura SDN. O curso contempla ainda temas de Seguranc¸a da Informac¸˜ao, como: ferramentas para detecc¸˜ao de atividade maliciosa, caracterizac¸˜ao de ataques e construc¸˜ao de um Sis-tema de Prevenc¸˜ao de Intrusos (IPS) baseado em SDN. Este artigo, portanto, apresenta um relato de experiˆencias na realizac¸˜ao do curso e no uso do SDN-IPS e do FIBRE para fins did´atico-pedag´ogicos, como mecanismos auxiliares nas pr´aticas de ensino.
Este artigo est´a organizado da seguinte forma: a Sec¸˜ao 2 exp˜oe a arquitetura e as funcionalidades do SDN-IPS. A Sec¸˜ao 3 descreve o uso do FIBRE na execuc¸˜ao dos expe-rimentos com a ferramenta. A Sec¸˜ao 4 relata os desafios, experiˆencias e lic¸˜oes aprendidas na realizac¸˜ao do curso. E a Sec¸˜ao 5 discute as conclus˜oes e trabalhos futuros.
2. A Ferramenta SDN-IPS
O SDN-IPS pode ser visto como um IPS baseado em OpenFlow cuja finalidade ´e orques-trar a rede e prover capacidade de detecc¸˜ao e contenc¸˜ao de ataques. Sua arquitetura ´e apresentada na Figura 1, cujos principais m´odulos s˜ao descritos a seguir:
• Gest˜ao da topologia (Topology Manager): Este m´odulo ´e respons´avel pela mo-delagem da rede na forma de um grafo dirigido. Utilizando a biblioteca NetworkX e a aplicac¸˜ao LLDP para descoberta de links, o SDN-IPS consegue mapear toda a topologia da rede, atributos do enlace, dentre outros. O estudo sobre a modela-gem da rede em um grafo, com suas propriedades e algoritmos, constitui-se um importante objeto de aprendizagem para estudantes de redes de computadores.
Figura 1. Diagrama da Arquitetura da SDN-IPS.
• Gest˜ao de Fluxos (Flow Manager): Realiza o armazenamento e checagem da consistˆencia dos fluxos instalados em cada switch. O SDN-IPS utiliza a lista de fluxos para modific´a-los frente `a uma solicitac¸˜ao de contenc¸˜ao na rede. A gest˜ao da tabela de fluxos, checagem de consistˆencia e modo proativo versus reativo do OpenFlow s˜ao alguns dos temas explorados em sala de aula com os alunos. • Espelhamento de Tr´afego (Traffic Mirror): Permite que o operador da rede fac¸a
o espelhamento de tr´afego com base nos fluxos de um switch para um equipa-mento remoto, tipicamente um IDS, para an´alise de tr´afego malicioso. Atrav´es da integrac¸˜ao com o IDS, o SDN-IPS recebe alertas de detecc¸˜ao de ataques e realiza ac¸˜oes de contenc¸˜ao. Este m´odulo destaca-se pelo desafio apresentado aos alunos de modificac¸˜ao das ac¸˜oes na tabela de fluxos para espelhamento do tr´afego, bem como o desafio de encapsulamento do tr´afego para encaminhamento remoto. • Contenc¸˜ao de ataques (IPS): O SDN-IPS implementa diversos mecanismos para
contenc¸˜ao de ataques: bloqueio (drop); limitac¸˜ao de banda e de requisic¸˜oes (rate-limit); e redirecionamento de tr´afego para VLAN de quarentena. Em particu-lar, a estrat´egia de quarentena desperta atenc¸˜ao nos alunos em relac¸˜ao `a sua implantac¸˜ao, visto que se baseia em uma traduc¸˜ao de enderec¸os de rede com o de-safio de utilizar uma tabela de fluxos OpenFlow stateless. Este m´odulo oportuniza a revis˜ao de conceitos de Firewall, NAT e gerenciamento da tabela de conex˜oes e permite a correlac¸˜ao entre esses conceitos e a arquitetura SDN/OpenFlow.
• Contenc¸˜ao colaborativa: Atrav´es do BGP FlowSpec [Marques et al. 2009], o SDN-IPS permite que clientes e parceiros solicitem a contenc¸˜ao de ataques, pro-vendo um servic¸o colaborativo de bloqueio remoto de atividade maliciosa. Al´em de permitir aprofundamento em temas como BGP e FlowSpec, esse m´odulo aborda ainda os desafios da validac¸˜ao do pedido de bloqueio pelos clientes. • Outras aplicac¸˜oes (BGP e e-Line): O SDN-IPS pode ser integrado com outras
aplicac¸˜oes no controlador SDN. Em particular, dois m´odulos pr´e-integrados ao SDN-IPS s˜ao: i) roteamento interdom´ınio atrav´es do protocolo BGP e ii) criac¸˜ao de enlaces ethernet de acordo com o padr˜ao e-Line do MetroEthernet F´orum1. A documentac¸˜ao completa do SDN-IPS pode ser encontrada no site http:// insert.ufba.br/sdn-ips. Nele est˜ao dispon´ıveis o c´odigo-fonte, descric¸˜ao da arqui-tetura, publicac¸˜oes, manuais e v´ıdeos explicativos sobre instalac¸˜ao e funcionalidades.
3. Pr´aticas utilizando o SDN-IPS no FIBRE
O funcionamento do SDN-IPS pode ser demonstrado em uma topologia no ambiente do FIBRE, conforme Figura 2, onde ´e poss´ıvel modelar o cen´ario de rede com dois Sistemas Autˆonomos (AS), em que o AS 100 ser´a orquestrado pelo SDN-IPS e o AS 666 com ferramentas de roteamento tradicionais. A Figura 3 ilustra a criac¸˜ao do cen´ario no OCF, o framework de controle do FIBRE. Os experimentos foram divididos em quatro etapas:
Figura 2. Topologia proposta para demonstrac¸ ˜ao no SBRC.
• Configurac¸˜ao do ambiente e conectividade: nesse momento os alunos s˜ao leva-dos a preparar o ambiente de experimentac¸˜ao no FIBRE, instalar e configurar o controlador SDN e a aplicac¸˜ao SDN-IPS e, por fim, estabelecer a conectividade ponto-a-ponto entre os servidores do AS 100 e entre o controlador e o atacante. • Roteamento interdom´ınio: nesta pr´atica os alunos desenvolvem parte de uma
aplicac¸˜ao SDN. Para programar a funcionalidade de comunicac¸˜ao BGP no contro-lador, o aluno deve modificar a aplicac¸˜ao SDN-IPS e integr´a-la com a biblioteca BGP do Ryu2. J´a na configurac¸˜ao do AS 666, o aluno tem oportunidade de exe-cutar comandos de configurac¸˜ao em um roteador BGP convencional, o Quagga. • Configurac¸˜ao do IDS: esta pr´atica envolve a instalac¸˜ao da ferramenta Suricata
IDS, ativac¸˜ao de assinaturas de ataques dispon´ıveis em fontes abertas e criac¸˜ao de regras customizadas para detecc¸˜ao de ataques espec´ıficos de Negac¸˜ao de Servic¸o (e.g. TCP SynFlood). Por fim, os alunos s˜ao orientados a compreender e ativar o espelhamento de tr´afego no controlador SDN para o servidor IDS.
• Mecanismos de contenc¸˜ao: neste laborat´orio ´e realizada a configurac¸˜ao de ac¸˜oes de contenc¸˜ao, que ocorrem de forma diferenciada para hosts intrusos internos e externos. Para permitir a integrac¸˜ao entre o Suricata IDS e o SDN-IPS, o aluno deve instalar e configurar a ferramenta Guardian Active Response3, customizando-a pcustomizando-arcustomizando-a diferencicustomizando-ar customizando-as customizando-ac¸˜oes de contenc¸˜customizando-ao com bcustomizando-ase no segmento de rede.
Os mecanismos de contenc¸˜ao ora implementados s˜ao ilustrados nos cen´arios das Figuras 4 e 5. Na Figura 4, uma m´aquina interna infectada com v´ırus realiza acesso a um IP malicioso (1) de Comando e Controle4. Em seguida, o sistema IDS, para o qual o tr´afego ´e espelhado, identifica aquela requisic¸˜ao anˆomala (2) e notifica via API REST o SDN-IPS (3), que cria regras para redirecionar todo o tr´afego para o servidor de quarentena. Assim, ao realizar novas requisic¸˜oes, a m´aquina ficar´a restrita ao ambiente de quarentena (4) at´e que seja efetuada uma an´alise com antiv´ırus para limpar a m´aquina.
2http://ryu.readthedocs.io/en/latest/library bgp speaker ref.html 3http://www.chaotic.org/guardian/
Figura 3. Tela do OCF com o setup do experimento para o SDN-IPS.
Figura 4. Ilustrac¸ ˜ao da SDN-IPS com contenc¸ ˜ao via quarentena.
J´a na Figura 5 ´e demonstrada uma situac¸˜ao de bloqueio de tr´afego. Trata-se de um ataque de Negac¸˜ao de Servic¸o do tipo TCP Synflood disparado contra o servidor web da organizac¸˜ao, utilizando a ferramenta HPING3. Em (1) o ataque ´e iniciado pelo ser-vidor malicioso. Em seguida, o Suricata IDS identifica o tr´afego malicioso (2) e notifica via REST o SDN-IPS (3). Como trata-se de um ataque externo, nesse caso, a ac¸˜ao de contenc¸˜ao realizada ´e o bloqueio (4) da m´aquina atacante.
Figura 5. Ilustrac¸ ˜ao da SDN-IPS com contenc¸ ˜ao via descarte de tr ´afego.
Al´em dos cen´arios apresentados anteriormente, uma notificac¸˜ao de atividade ma-liciosa pode ser reportada por um cliente ou provedor parceiro atrav´es do m´odulo de contenc¸˜ao colaborativa do SDN-IPS. Este m´odulo recebe mensagens de BGP do tipo FlowSpec IPv4 e converte-as em matches e actions para ent˜ao serem enviadas via Open-Flow para os switches de borda. Para simular o cliente, pode ser executado o roteador virtual ExaBGP5 para estabelecer um peering com o SDN-IPS e enviar um BGP FlowS-pec de solicitac¸˜ao de bloqueio para o IP externo do atacante.
4. Curso semi-presencial de Prevenc¸˜ao de Intrus˜ao baseado em SDN
Foi desenvolvido um curso de extens˜ao semi-presencial na UFBA explorando o potencial da ferramenta SDN-IPS e do testbed FIBRE para fins did´atico-pedag´ogicos. Esta sec¸˜ao descreve mais informac¸˜oes sobre o curso, experiˆencias e lic¸˜oes aprendidas.
4.1. Vis˜ao geral do curso
O curso de curso de extens˜ao semi-presencial foi realizado entre os dias 08/03 e 05/04 de 2018. As aulas presenciais ocorreram no Laborat´orio da Superintendˆencia de TI da UFBA e o acompanhamento `a distˆancia foi realizado atrav´es do Moodle6. Devido ao car´ater de turma piloto, a divulgac¸˜ao foi restrita7, mas foram recebidos muitos pedidos de inscric¸˜ao, dos quais selecionou-se 21 alunos de acordo com os requisitos do curso e criou-se uma lista de espera para novas edic¸˜oes. A Figura 6 ilustra um dia de aula presencial do curso.
Figura 6. Fotos do curso de extens ˜ao SDN-IPS realizado na UFBA.
A Figura 7 apresenta a tela inicial do ambiente virtual de aprendizagem (AVA) utilizado no curso SDN-IPS. O AVA configurou-se como um momento complementar `as aulas expositivas, e atrav´es dele foi poss´ıvel concentrar a divulgac¸˜ao de materiais adicio-nais, a realizac¸˜ao de atividades avaliativas e discuss˜oes sobre os temas do curso. Ademais, uma das grandes vantagens desse ambiente ´e funcionar como uma mem´oria viva do curso, onde novas turmas poder˜ao se beneficiar de tudo que foi constru´ıdo em conjunto e com-partilhado pelos alunos egressos, al´em de produzir novos conte´udos.
Figura 7. Tela do Ambiente Virtual de Aprendizagem e do F ´orum de Discuss ˜ao.
´
E importante destacar a participac¸˜ao dos alunos no AVA, seja para tirar d´uvidas sobre as pr´aticas, para reportar problemas na infraestrutura ou no material e at´e para
6https://www.moodle.ufba.br
7O curso foi divulgado para profissionais e alunos de graduac¸˜ao e p´os-graduac¸˜ao da UFBA e outras
compartilhar lic¸˜oes aprendidas ou materiais relacionados. Os alunos utilizaram o F´orum de Discuss˜oes de forma bastante proveitosa, conforme Figura 7. Ao longo do curso, foram criados mais de 25 t´opicos, com mais de 80 interac¸˜oes entre alunos e instrutores.
4.2. Perfil dos alunos
Para validar os pr´e-requisitos te´oricos e mensurar a experiˆencia pr´atica dos alunos, foi aplicado um formul´ario composto por 15 quest˜oes que serviu como insumo para identificac¸˜ao do perfil dos estudantes e composic¸˜ao das aulas te´oricas.
Em geral, observou-se variac¸˜ao no perfil dos alunos em relac¸˜ao `a faixa et´aria, es-colaridade, perfil profissional e experiˆencia nas ´areas de redes e seguranc¸a da informac¸˜ao. Essa heterogeneidade traz consigo o desafio de balancear o n´ıvel de exposic¸˜ao dos assun-tos de maneira adequada aos diferentes p´ublicos. Desta forma, foi realizada uma avaliac¸˜ao em relac¸˜ao aos conte´udos que seriam abordados para que fosse verificado quais assuntos deveriam ser mais explorados. A relac¸˜ao do n´ıvel de conhecimento dos alunos por tema pode ser observada na Tabela 1, que sumariza a avaliac¸˜ao dos alunos em graus de 1 a 5 (1 indicando pouco ou nenhum conhecimento e 5 indicando muito conhecimento) e indica o perfil da turma em relac¸˜ao aos t´opicos que seriam apresentados durante o curso.
Tabela 1. Avaliac¸ ˜ao inicial do conhecimento dos alunos em relac¸ ˜ao aos assuntos abordados no curso.
1 2 3 4 5
Arquitetura e Protocolos TCP/IP 15% 15% 55% 15%
VLAN 5% 30% 15% 30% 20%
Enderec¸amento e Segmentac¸˜ao de rede 10% 20% 25% 30% 15%
Padr˜oes de conectividade de enlace metroethernet 35% 25% 25% 15%
Sistemas Autˆonomos 30% 25% 40% 5%
Roteamento entre Sistemas Autˆonomos 30% 30% 35% 5%
Protocolo BGP 40% 20% 40% Software-Defined Networking 35% 15% 30% 20% OpenFlow 35% 20% 35% 10% Redes de testebed 50% 15% 30% 5% FIBRE 55% 25% 20% Seguranc¸a da Informac¸˜ao 30% 35% 30% 5%
Ataques na camada de rede 20% 15% 45% 20%
Ataques na camada de aplicac¸˜ao 15% 25% 30% 30%
Sistemas de Detecc¸˜ao de Intrus˜ao 20% 25% 35% 15% 5%
Mecanismos de contenc¸˜ao de ataques 25% 30% 25% 15% 5%
De acordo com a tabela, aproximadamente 50% da turma tinha conhecimento intermedi´ario/avanc¸ado nos t´opicos b´asicos em redes, enquanto os temas relacionados `a seguranc¸a tiveram sua distribuic¸˜ao entre os n´ıveis b´asico/intermedi´ario. Al´em desse sum´ario, ao verificar o conhecimento em relac¸˜ao `as ferramentas utilizadas, mais de 50% tinha pouco/nenhum conhecimento; em relac¸˜ao ao Quagga, por exemplo, esse valor che-gou a representar 85% da turma, fato que pode evidenciar um desequil´ıbrio entre teo-ria/pr´atica na formac¸˜ao anterior dos estudantes. Outro fator relevante ´e que aproximada-mente 50% da turma n˜ao conhecia o FIBRE ou o uso de testbed.
Al´em de utilizar esse sum´ario para produzir as aulas, pretende-se avaliar, posteri-ormente, o impacto do FIBRE no aprendizado, de acordo com os perfis dos alunos. 4.3. Testemunho dos alunos
Na reta final do curso, formul´arios de avaliac¸˜ao foram encaminhados a alguns alunos para colher feedbacks e oportunidades de melhoria que pudessem ser enderec¸adas nesta ou em novas edic¸˜oes. A Tabela 2 apresenta um sum´ario com alguns coment´arios dos alunos. Um dos aspectos positivos diz respeito ao equil´ıbrio na metologia utilizada e no material de apoio com as pr´aticas, conforme resposta `a quest˜ao A.
Destaca-se tamb´em o impacto positivo e a alta relevˆancia do uso do FIBRE no processo de aprendizagem dos alunos, novamente, buscando-se uma harmonizac¸˜ao dos princ´ıpios com a pr´atica, dos conceitos com o laborat´orio, da teoria com as situac¸˜oes reais do dia a dia, conforme notado nas respostas B e C. Por fim, os coment´arios dos alunos apontam diversas oportunidades de melhoria para o curso e para o projeto FIBRE em si (respostas D e E), pontos que ser˜ao alvo de maior detalhamento na sec¸˜ao seguinte. 4.4. Desafios e Lic¸˜oes Aprendidas Durante o Curso
O car´ater inovador de utilizar o FIBRE pela primeira vez em um curso de redes e ciberseguranc¸a na UFBA trouxe muitos aprendizados, desafios e, principalmente, enri-queceu o processo de ensino e aprendizagem. A seguir s˜ao listados alguns desafios e lic¸˜oes aprendidas ao longo do curso:
• Problemas nas ilhas do FIBRE: ao longo do curso, diversos problemas ocorre-ram nas ilhas que estavam sendo utilizadas (UFBA, UFPE e RNP). Os problemas incluem lentid˜ao nos recursos, problemas em equipamentos, falta de espac¸o em disco para novas m´aquinas e bugs no OCF que demandaram a recriac¸˜ao de slices. Ao identificar esses problemas, a equipe do FIBRE prontamente alocou um ana-lista para acompanhar e apoiar a realizac¸˜ao das aulas. Al´em disso, concentrar os experimentos em uma ´unica ilha, na qual a equipe executora do curso possui maior proximidade com os operadores, tamb´em diminuiu a incidˆencia dos problemas. • Vis˜ao da topologia no OCF: do ponto de vista did´atico, foi ruim para os
alu-nos identificar a topologia configurada na definic¸˜ao do slice (Define flowspace > User’s topology) com a topologia apresentada na p´agina de vis˜ao geral do slice (Physical topology) no OCF. Seria interessante que a vis˜ao geral do slice refletisse a topologia escolhida pelo usu´ario na sua definic¸˜ao. Dessa forma, o aluno visu-alizaria rapidamente as caracter´ısticas do seu experimento, bem como facilitaria para o professor produzir um material que seja claro, did´atico e determin´ıstico. • Resoluc¸˜ao de problemas e visibilidade do switch OpenFlow: em alguns
mo-mentos ´e importante mostrar para os alunos o estado da tabela OpenFlow e como as regras foram inseridas, inclusive possivelmente regras de outros slices. Embora esse requisito n˜ao seja importante ou mesmo desej´avel para uso do FIBRE por experimentadores, do ponto de vista did´atico-pedag´ogico, ´e importante o aluno ter essa vis˜ao concreta da tabela e, inclusive, enviar comandos para o switch (e.g. dpctl). Essa possibilidade ajuda na resoluc¸˜ao de problemas: um aluno te-ria `a disposic¸˜ao mais informac¸˜oes para ajud´a-lo no diagn´ostico da causa raiz do mal funcionamento da rede. Viabilizar o desenvolvimento da capacidade de di-agn´ostico e resoluc¸˜ao de problemas seria um diferencial expressivo do ambiente.
Tabela 2. Respostas dos alunos ao formul ´ario de avaliac¸ ˜ao na reta final do curso.
Pergunta Resposta
A - Qual a sua avaliac¸˜ao sobre o curso SDN-IPS?
MUITO BOM! (...) gostei bastante da estrutura, de uma apresenta¸c˜ao para nivelamento sobre o t´opico, em seguida um aprofundamento e por fim uma parte pr´atica para fixar os conceitos aprendidos.
Instrutores super capacitados com dom´ınio nos temas abordados e prin-cipalmente sabendo passar todo esse conhecimento para os alunos e material did´atico muito bem explicativo para acompanhamento do curso B - Este foi o primeiro contato com o FIBRE? Como foi a experiˆencia?
Sim, foi meu primeiro contato na pr´atica. (...) `a medida que o curso avan¸cava tornou-se evidente a real dimens˜ao de todos os conceitos mostrados em sala uma vez que a teoria repassada foi realmente aplicada em um cen´ario que, apesar de controlado, representa situa¸c˜oes reais enfrentadas no cotidiano de empresas/universidades/organiza¸c˜oes. Sim, excelente. Se todo curso/estudo tivesse o fibre como apoio seria muito mais f´acil aprender
C - Quais vantagens observadas no uso do FIBRE durante o curso?
Utiliza¸c˜ao de um cen´ario real para execu¸c˜ao de experimentos; Realiza-¸c˜ao de troubleshooting na pr´atica; Rapidez na alocaRealiza-¸c˜ao de recursos. Colocar o que aprendemos em pr´atica, auxilia e muito no aprendizado D - Quais as oportunidades de melhoria vocˆe observou no uso do FIBRE?
(...) oportunidade de melhoria ´e no sistema que est´a meio inst´avel com alguns problemas, uma op¸c˜ao que seria uma boa ter era SNAPSHOT, por conta de estar fazendo teste constante isso vai ser uma boa. Em alguns momentos o ambiente se mostrou inst´avel sem indicar nenhuma mensagem (...) Portanto, a instabilidade e o tratamento de mensagens (feedback), considero pontos de melhoria.
E - Coment´arios adicionais
O testbed FIBRE, apesar da iniciativa do curso SDNIPS, tem permanecido fora do conhecimento de grande parte dos estudantes. Necessitamos de mais oportunidades de cursos como este!
• Problemas com o funcionamento do datapath OpenFlow: foram identifica-dos alguns problemas espec´ıficos no funcionamento do datapath OpenFlow ao longo das pr´aticas, seja por ocasi˜ao do Flowvisor ou do pr´oprio switch Open-Flow. Um deles foi em relac¸˜ao ao isolamento de experimentos, onde regras muito gen´ericas inseridas no switch acabavam gerando tr´afego inesperado na aplicac¸˜ao de outro slice. Houveram problemas tamb´em nas ac¸˜oes de reescrita de campos como IP ToS e VLAN PCP. Outro problema foi observado durante o envio de mensagens Flow-Mod com match incluindo o ether-type. Nesse caso, o fluxo ´e inserido pelo FlowVisor sem o VLAN ID, convencionalmente utilizado para iso-lamento dos slices, o que termina impactando, por exemplo, na limpeza de regras na reinicializac¸˜ao do controlador. Todos os problemas foram reportados `a equipe do FIBRE, que est´a enderec¸ando internamente cada quest˜ao.
• Necessidade da VPN e console SSH para acesso `as m´aquinas: alguns alunos sugeriram que a interface do OCF disponibilizasse consoles virtuais web, para que o acesso `as m´aquinas seja simplificado e todos os laborat´orios possam ser realizados atrav´es de um simples navegador web.
• Armazenamento do estado das m´aquinas: com as instabilidades do ambiente ou para realizac¸˜ao de pr´aticas divididas em m´ultiplas aulas, seria interessante que as m´aquinas pudessem ter seu estado salvo, com uso de SNAPSHOT, por exemplo.
5. Conclus˜oes e Trabalhos Futuros
Este artigo apresentou um relato de experiˆencias no uso do FIBRE e do SDN-IPS no ensino de redes e seguranc¸a na UFBA. Atrav´es do material te´orico, das aulas expositivas e das pr´aticas utilizando o SDN-IPS no FIBRE, foi poss´ıvel viabilizar uma aprendizagem progressiva, consistente e com foco na soluc¸˜ao de problemas reais, de forma inovadora.
As lic¸˜oes aprendidas e os feedbacks confirmam que a harmonizac¸˜ao entre teoria e pr´atica ´e essencial para formac¸˜ao de alunos na ´area de redes e seguranc¸a. Do ponto de vista do professor, o uso de testbeds como o FIBRE abre novas perspectivas para construc¸˜ao de objetos de aprendizagem, bem como simplifica a busca por recursos para realizac¸˜ao de laborat´orios pr´aticos. ´E importante destacar ainda as quest˜oes relacionadas `a hacking ´etico, na qual o estudante ´e apresentado `a t´ecnicas ofensivas e defensivas, sendo orientado sobre os princ´ıpios que disciplinam sua atuac¸˜ao. Nesse sentido, o uso FIBRE permite o equil´ıbrio entre um cen´ario com equipamentos reais em ambiente controlado.
Em trabalhos futuros espera-se dar continuidade `a realizac¸˜ao de cursos como esse, inclusive incorporando-o em outros n´ıveis da educac¸˜ao, e colaborar com o FIBRE na melhoria do projeto em relac¸˜ao aos desafios ora enfrentados. Em especial, aprimorar as estrat´egias de divulgac¸˜ao e aproximac¸˜ao do FIBRE junto `as instituic¸˜oes de ensino ´e uma ac¸˜ao estrat´egica, pois dessa forma os benef´ıcios de seu uso ser˜ao potencializados.
Referˆencias
Ciuffo, L., Salmito, T., Rezende, J., and Machado, I. (2016). Testbed FIBRE: passado, presente e perspectivas. In Workshop de Pesquisa Experimental da Internet do Futuro (WPEIF), pages 3–6.
Kaabi, S. A., Kindi, N. A., Fazari, S. A., and Trabelsi, Z. (2016). Virtualization based ethical educational platform for hands-on lab activities on DoS attacks. In IEEE EDU-CON, pages 273–280.
Kreutz, D., Ramos, F. M. V., Ver´ıssimo, P., Rothenberg, C. E., Azodolmolky, S., and Uh-lig, S. (2014). Software-Defined Networking: A Comprehensive Survey. Proceedings of the IEEE, 103(1):63.
Kurose, J. and Ross, K. (2013). Redes de computadores e a Internet: uma abordagem top-down. Pearson.
Marques, P., Sheth, N., Raszuk, R., Greene, B., Mauch, J., and McPherson, D. (2009). Dissemination of Flow Specification Rules. RFC 5575 (Proposed Standard).
Xu, L., Huang, D., and Tsai, W. T. (2014). Cloud-Based Virtual Laboratory for Network Security Education. IEEE Transactions on Education, 57(3):145–150.
